Die EU-Kommission plant umfassende Auflagen zur Vermeidung und Meldung von Cyberangriffen. Diese betreffen zukünftig fast alle mittelständischen Industriebetriebe. Künftig sollen praktisch alle Industrieunternehmen dazu verpflichtet werden, umfangreiche Cybersecurity-Auflagen zu erfüllen – egal, ob es sich dabei um große Kraftwerksbetreiber handelt oder um Nischenbetriebe. Der VDMA unterstützt zwar den Ausbau von Cybersecurity in der Industrie, bemängelt aber, dass in der geplanten Richtlinie zur Netzwerksicherheit (NIS 2) nicht genauer unterschieden werden soll zwischen Unternehmen, die z.B. in der kritischen Infrastruktur tätig sind und anderen Firmen. Damit würde insbesondere kleinen Unternehmen eine erhebliche finanzielle Belastung aufgebürdet; hinzu kämen große Rechtsunsicherheiten. Als besonders problematisch wertet der VDMA die künftige Klassifizierung von Unternehmen. Neben ‚wesentlichen Einrichtungen‘ ist in der NIS-2-Richtlinie eine neue Kategorie von sogenannten ‚wichtigen Einrichtungen‘ vorgesehen, zu denen nach derzeitigem Stand auch Unternehmen des Maschinen- und Anlagenbaus zählen. Ausgenommen sind nur Unternehmen mit weniger als 50 Mitarbeitern.